勒索软件是目前存在的最突出和最具破坏性的恶意软件类型。一次攻击可能造成数百万美元的损失,并且需要数百小时的恢复才能让受害者再次开始使用受感染的设备。本文 介绍勒索软件和勒索软件的危害。我们解释了这种恶意软件是什么以及它是如何工作的,检查当前的勒索软件环境,并就如何最好地应对这种网络威胁提供建议。
勒索软件定义
勒索软件是一种不断发展的恶意软件,它会阻止对文件或设备的访问,直到受害者支付赎金。大多数勒索软件使用加密使数据无法使用,从而使攻击者可以索要金钱以换取解密密钥。如果受害者忽略了请求,攻击者会删除密钥,从而使所有加密数据变得无用。
勒索软件可以感染单个 PC 或移动设备,但攻击也可以针对整个网络。动机通常是金钱,但一些攻击主要旨在破坏目标。勒索软件的后果可能是毁灭性的,并导致:
- 业务和客户数据丢失。
- 允许数据泄露的法律后果。
- 停机时间延长。
- 声誉受损导致客户流失。
- 一个代价高昂的恢复过程,需要数周时间才能将网络恢复到攻击前的状态。
- 对基础设施的长期破坏。
赎金要求从几百美元到数百万美元不等。大多数攻击者要求用比特币付款,这是一种允许犯罪分子在收到钱后保持匿名的货币选择。
黑客使用勒索软件攻击中小型企业、企业、公共组织和个人用户。这种类型的恶意软件也对所有操作系统构成威胁,包括 Windows、Linux和 Mac。没有任何业务或系统是安全的,因此勒索软件预防必须成为每个网络安全策略的一部分。
勒索软件的现状
随着犯罪分子采用新的策略来利用云计算、虚拟化和边缘计算的进步,勒索软件不断发展。以下是目前塑造勒索软件格局的最显着趋势:
- 对 MSP 的压力: 犯罪分子比以往任何时候都更针对托管服务提供商 (MSP)。破坏单个 MSP 为感染客户端创造了机会,并允许攻击者通过一次破坏来追踪多个目标。
- 更好的防御:公司正试图通过新策略保持领先于黑客。改进的启发式、行为分析和诱饵文件正在帮助公司预测攻击而不是响应危险。
- 瞄准在家工作的公司:黑客继续攻击远程操作的团队。使用个人设备在家工作的员工是主要目标。
- 专注于混乱的行业: 攻击者继续掠夺受到大流行打击的行业。医疗保健和教育机构最容易受到攻击,因为犯罪分子知道他们的数据很有价值,而且很可能保护不力。
- 比以往更多的 RaaS:勒索软件即服务是一种基于订阅的“服务”,允许黑客使用第三方工具进行攻击。工具创建者获得每次成功违规的一定比例,而“客户”则完全专注于传播恶意软件。
- 最大威胁:2021 年最突出的勒索软件是 Conti、Avvadon、REvil(前 Sodinokibi)、Netwalker和 Babuk。最常见的攻击媒介仍然是 网络钓鱼电子邮件、RDP 漏洞利用和软件漏洞。
勒索软件如何运作?
当恶意负载进入系统时,所有勒索软件攻击都从初始感染开始。一旦程序进入系统,勒索软件就会执行恶意二进制文件。根据恶意软件的类型,有效载荷的目标是:
- 自动搜索目标数据(Microsoft Word 文档、图像、数据库等)并开始加密。
- 连接到黑客的 C&C 服务器并授予对系统的直接控制权。
- 自动锁定操作系统和设备。
- 搜索有价值的数据并设置渗透过程。
一旦程序完成其任务,用户将失去对文件或整个计算机的访问权限。该设备显示一条消息,说明系统是勒索软件的受害者,重新获得控制或检索数据的唯一方法是支付赎金。程序显示此消息的两种常见方式是:
- 变成赎金票据的背景。
- 每个加密目录中的文本文件。
通常,每笔赎金都有两个期限来向受害者施加压力。第一个截止日期是黑客威胁要双倍赎金的时候,另一个是攻击者计划删除解密密钥的时候。
大多数勒索软件依赖于 非对称加密。这种类型的密码学使用一对唯一的密钥来加密和解密数据。一个密钥加密受害者的文件,检索数据的唯一方法是使用存储在黑客服务器上的密钥。大多数勒索软件程序对每个目标文件使用不同的解密密钥。
勒索软件是如何传播的?
以下是犯罪分子用来传播勒索软件的最常用方法:
- 传播损坏链接或附件的电子邮件网络钓鱼活动。
- 具有高度针对性的鱼叉式网络钓鱼攻击。
- 不同形式的 社会工程(诱饵、恐吓软件、借口、社交媒体上的把戏等)。
- 恶意广告。
- 恶意网站上的漏洞利用工具包。
- 利用系统弱点(例如错误的 RDP 设置或由于服务器管理不善导致的缺陷)的自定义蠕虫。
- 受感染的硬件(即 USB 和笔记本电脑)。
- 下载期间不需要的附加组件。
大多数顶级勒索软件可以在感染初始受害者后通过网络传播。在许多情况下,受感染的设备是一个端点,而不是攻击的目标。典型的目标是数据库和服务器,因此大多数程序使用自传播机制传播到其他系统。
勒索软件的目标是谁?
勒索软件犯罪分子可以攻击任何人,但他们的主要目标是那些似乎愿意迅速支付巨额赎金的公司。大多数攻击针对的受害者是:
- 保留有价值的客户数据(例如,银行或律师事务所)。
- 要求立即访问文件(医院和诊所)。
- 拥有不可替代的数据(政府机构)。
- 依靠人手不足的安全团队(公共机构和中小企业)。
- 拥有不同的用户群和大量文件共享(大学)。
如果您的业务不符合这些标准,请不要感到安全。犯罪分子是投机取巧的,不会放过任何机会去追捕任何易受伤害的人。此外,一些勒索软件会在互联网上自动传播,因此每家公司都是潜在的目标,无论其规模、行业或收入水平如何。
有多少种勒索软件?
虽然所有勒索软件程序都遵循类似的蓝图,但 这些网络攻击主要有两种类型:
- Locker 勒索软件(计算机锁): 一种将用户锁定在设备之外并阻止计算机启动的恶意软件。通常,锁定的系统允许有限的访问,以便受害者可以与黑客进行交互。
- 加密勒索软件(数据锁): 一种对有价值数据进行加密而不将用户锁定在设备之外的攻击。通常的目标是财务数据、私人客户信息、大型工作项目、照片、税务信息、视频等。
Locker 勒索软件是不太危险的类型,因为这些攻击不会通过网络移动或损坏文件。这种恶意软件也更容易在不支付赎金的情况下被删除,这就是为什么储物柜黑客经常充当警察来迫使受害者迅速付款的原因。
当公司开始依赖更好的数据备份时,犯罪分子开始研究一种新的勒索软件变体。Doxware 攻击旨在 从目标系统中窃取数据。如果程序对数据进行加固,攻击者会以泄露文件或将文件卖给出价最高者的威胁要求赎金。
一些程序可以先泄露数据,然后加密文件。加密和 Doxware 功能的组合允许攻击者使用这两种勒索策略。
如何避免勒索软件?
勒索软件可能很难阻止,但员工意识、主动响应计划和基本安全卫生的结合可以提供帮助。以下是每个企业应实施以防止勒索软件的最佳实践:
- 使用最新的安全补丁使设备和系统保持最新。
- 确保团队使用强大的电子邮件安全实践。
- 组织安全意识培训 ,以确保团队了解勒索软件的工作原理。
- 使用网络分段来防止系统之间的横向移动。
- 确保员工知道如何使用反恶意软件和病毒解决方案。
- 强调安全上网的重要性,以避免恶意广告和偷渡式下载。
- 提高整体网络安全性。
- 依靠零信任策略和多因素身份验证来保护重要系统和数据库。
- 监控网络活动中的可疑行为。
- 确保端点不会成为定期更新和流量监控的入口点。
- 创建事件响应计划。
将勒索软件威胁降到最低的最佳方法是使用不可变备份。这种类型的备份是不可编辑的,因此入侵者无法加密、删除或更改信息。每天多次备份数据,以最大程度地降低勒索软件来袭时丢失数据的风险。
遇到勒索软件怎么办?
即使是最好的勒索软件保护有时也不足以阻止攻击。如果您遭受攻击,请按照以下步骤将损失降到最低并迅速恢复正常工作:
- 隔离问题:使受感染的设备脱机并关闭网络。该程序可能正在寻找其他设备和驱动器,因此消除横向移动的可能性。
- 评估损害:检查每个可疑设备。检查加密数据、带有奇怪扩展名的文件以及用户无法打开文件的报告。列出所有受影响的系统,包括网络设备、云存储、外部硬盘驱动器、笔记本电脑、PC、便携式设备等。
- 找到零号病人:您必须确定攻击的来源。查找来自您的防病毒和恶意软件程序、EDR 系统和监控平台的警报。
- 识别勒索软件:您需要确定攻击您公司的勒索软件类型。大多数赎金记录都会显示攻击者,但您也可以将消息文本输入搜索引擎并以这种方式识别攻击者。
- 联系当局:警察可以帮助识别攻击者,而且警察也有可能拥有相关勒索软件的解密密钥。
- 使用备份来恢复数据:从备份中恢复每个受感染的系统。如果您有不可变的备份,则攻击不会影响备份文件,因此请将每个设备恢复到上一个安全状态。接下来,使用反恶意软件解决方案扫描设备以查找后门。
如果您没有可行的备份并且警方没有解密密钥,您的选择是支付赎金或减少损失。然而,正如我们在下面解释的那样,支付赎金可能不是最好的主意。
公司应该支付赎金吗?
如果一家公司没有数据备份并且面临数周或数月的恢复,那么支付赎金是很诱人的。但是,在做出决定之前,请考虑以下事项:
- 您有可能永远无法获得解密密钥:许多受害者支付了赎金,却一无所获。
- 解密密钥可能不起作用:勒索软件的创建者不从事文件恢复业务,因此犯罪分子不会花太多时间来确保解密工作正常。
- 您的文件可能太损坏了:一些勒索软件程序会损坏无法修复的文件,以确保尽快进行加密。如果是这种情况,即使是解密密钥也无法恢复文件。
- 你成为一个有价值的目标:有支付赎金历史的公司是新攻击的有吸引力的目标。同一个团队将来可能会再次罢工,或者让他们的同事知道公司愿意满足哪些要求。
- 犯罪分子仍然可以泄露您的数据:如果攻击者泄露了您的数据,即使您支付了赎金,也无法阻止他们将数据出售给出价最高的人。
与其权衡支付赎金是否正确,不如确保您的公司能够应对勒索软件攻击。有了适当的预防措施和备份,您将永远不会处于必须考虑支付赎金的境地。
不要用勒索软件冒险
对抗勒索软件的最佳方法是建立健全的预防策略,并以完善的响应计划为后盾。使用本文向您的团队介绍威胁并设置预防措施,以确保您能够可靠地预防和从勒索软件攻击中恢复。